再保险:CNA需求

我从未听说过ISO 29147,只是检查和成本超过100美元的副本,这是不会为大多数开源项目工作。更重要的是我们可以归结的5步骤需要什么我在我以前的邮件列表。

在星期二,2016年5月31日上午八16,米勒,托马斯<Thomas.Millar@hq.dhs.gov>写道:

的“成熟”这个词也许是最快的一个可以接受的解决方法。形容词是困难的。

安全工程生命周期包括常规漏洞信息披露和修复活动,和/或self-attested符合ISO 29147,可能会做一个定义。



us - cert汤姆•米勒

从+ 1-202-631-1915
https://www.us-cert.gov

---

来自:owner-cve-editorial-board-list@lists.mitre.org代表Adinolfi丹尼尔·R
发送:星期二,2016年5月31日3:01:09点
:耶利哥;Kurt Seifried
答:cve-editorial-board-list
主题:再保险:CNA需求

布莱恩,

因为我们似乎并不是所有同意什么是成熟安全的过程,我们应该花一些时间来定义它。你会如何(或其他人在黑板上;请插话)定义或描述一个“成熟”安全过程?我猜可能有很多的定义这样的事,如果CVE希望看到他们必须有一个成熟的过程,我们将需要一个坚持测量“成熟”。

一个成熟的过程是什么样子的?多少钱的过程依赖于组织以及他们如何做软件/硬件开发和QA,处理公关问题,支持他们的顾客,等等?或者我们的定义应该是一个标准,无论组织细节?我们只是测量他们如何应对在其产品中漏洞,或者我们应该衡量除此之外操作流程的一部分?

最近的一个工作小组的编委会会议正在创建标准/准则CVE提交实践讨论的更大的社区的一部分。我们应该包括在工作小组讨论吗?

丹

注:SGI确实存在。CNA接触是迈克尔·奥康纳,他们可以公开security-info@sgi.com。

02:45 5/28/16,”owner-cve-editorial-board-list@lists.mitre.org代表耶利哥" <owner-cve-editorial-board-list@lists.mitre.org代表jericho@attrition.org>写道:

>在星期二,2016年5月17日,Kurt Seifried写道:
>
>:在星期二,2016年5月17日上午8:54,Waltermire David a .(美联储)<
>:david.waltermire@nist.gov>写道:
>:
> >:恕我直言,我认为我们需要解决这个问题的方式支持
>:>无等级,图的区域之间的通信。这个模型
>:>发生在现实世界中。应该有可能CNA找到任何
>:>其他CNA,得到他们的联系信息,然后向他们伸出我们的手来协调
>:> CVE作业。依靠父母始终不做这项工作。
>
>,这是我们进入meta-discussion……
>
》:我一直在思考这个问题,回顾一些
>:情况在过去的5000年左右CVE我分配和一些东西
>:是显而易见的:
>:
>:1)作为一个中央社需要你有一个成熟安全的过程,如果你
>
>显然错误的。
>
>——苹果公司是一个中央社,他们没有一个成熟的安全过程。
>——IBM CNA,他们有一个复杂的恶心的安全过程。(爱
>丽莎和斯科特,但这是真的!另外,IBM在黑板上为什么不?)
>——甲骨文是中央社,他们没有一个成熟的安全过程。
> - SGI CNA,他们……呃,不存在吗?
>
>说,你的轮廓在定义CNA需求是伟大的和有用的。
> =)就不要在这里说模棱两可的话。

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com